Техническая информация
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- ieinstal.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\kortspil.dat
- %TEMP%\6gjl5j0n.0.cs
- %TEMP%\6gjl5j0n.cmdline
- %TEMP%\6gjl5j0n.out
- %TEMP%\cscfb5e.tmp
- %TEMP%\resfb5f.tmp
- %TEMP%\6gjl5j0n.dll
Удаляет следующие файлы
- %TEMP%\resfb5f.tmp
- %TEMP%\cscfb5e.tmp
- %TEMP%\6gjl5j0n.out
- %TEMP%\6gjl5j0n.dll
- %TEMP%\6gjl5j0n.pdb
- %TEMP%\6gjl5j0n.0.cs
- %TEMP%\6gjl5j0n.cmdline
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "IwBpAG4AdAByACAAcwB1AHMAcABlACAAQgBlAGcAcgBlAGIAOAAgAHMAaABlAHIAcgBpAGUAIABBAG4AbABnAGcAZQB0AHcAMwAgAFMAdABlAHQAaAB5AHMAdAA3ACAAbABpAGIAZQByAGEAIABIAGwAZABuAGkAbgBnAHMAIABTAG8A...' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\6gjl5j0n.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFB5F.tmp" "%TEMP%\CSCFB5E.tmp"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -EncodedCommand "IwBpAG4AdAByACAAcwB1AHMAcABlACAAQgBlAGcAcgBlAGIAOAAgAHMAaABlAHIAcgBpAGUAIABBAG4AbABnAGcAZQB0AHcAMwAgAFMAdABlAHQAaAB5AHMAdAA3ACAAbABpAGIAZQByAGEAIABIAGwAZABuAGkAbgBnAHMAIABTAG8A...
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\6gjl5j0n.cmdline"
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESFB5F.tmp" "%TEMP%\CSCFB5E.tmp"
- '%ProgramFiles(x86)%\internet explorer\ieinstal.exe'
